Documentos de Académico
Documentos de Profesional
Documentos de Cultura
06 Malware
06 Malware
Cargado por
Edwin PerezDerechos de autor
Formatos disponibles
Compartir este documento
Compartir o incrustar documentos
¿Le pareció útil este documento?
¿Este contenido es inapropiado?
Denunciar este documentoCopyright:
Formatos disponibles
06 Malware
06 Malware
Cargado por
Edwin PerezCopyright:
Formatos disponibles
LECCIN 6
MALWARE
License for Use Information
The following lessons and workbooks are open and publicly available under the following
terms and conditions of ISECOM:
ll works in the !acker !ighschool pro"ect are provided for non#commercial use with
elementary school students$ "unior high school students$ and high school students whether in a
public institution$ private institution$ or a part of home#schooling% These materials may not be
reproduced for sale in any form% The provision of any class$ course$ training$ or camp with
these materials for which a fee is charged is e&pressly forbidden without a license including
college classes$ university classes$ trade#school classes$ summer or computer camps$ and
similar% To purchase a license$ visit the 'ICE(SE section of the !acker !ighschool web page at
www%hackerhighschool%org)license%
The !!S *ro"ect is a learning tool and as with any learning tool$ the instruction is the influence
of the instructor and not the tool% ISECOM cannot accept responsibility for how any
information herein is applied or abused%
The !!S *ro"ect is an open community effort and if you find value in this pro"ect$ we do ask
you support us through the purchase of a license$ a donation$ or sponsorship%
ll works copyright ISECOM$ +,,-%
Informacin sobre la Licencia de Uso
'as lecciones y cuadernos de traba"o siguientes son de acceso p.blico y est/n disponibles
ba"o las siguientes condiciones de ISECOM:
Todos los traba"os del proyecto 0!acker !ighschool1 son proporcionados para su uso no
comercial con estudiantes de escuelas primarias$ secundarias$ bachilleratos y ciclos
formativos dentro de las actividades acad2micas propias de la instituci3n% 4ichos materiales
no pueden ser reproducidos con fines comerciales de ning.n tipo% 'a impartici3n con estos
materiales de cual5uier clase$ curso o actividad de formaci3n para el 5ue sea necesario
pagar un importe$ 5ueda totalmente prohibida sin la licencia correspondiente$ incluyendo
cursos en escuelas y universidades$ cursos comerciales o cual5uier otro similar% *ara la
compra de una licencia visite la secci3n 0'ICE(SE1 de la p/gina web del proyecto 0!acker
!ighschool1 en www%hackerhighschool%org)license%
El proyecto !!S es una herramienta de aprendi6a"e y$ como tal$ la formaci3n final debe
proceder realmente de la influencia del instructor y no basarse .nicamente en el uso de la
herramienta%
ISECOM no puede aceptar ba"o ning.n concepto responsabilidad alguna sobre la forma de
aplicar$ ni sus consecuencias$ de cual5uier informaci3n disponible dentro del proyecto% El
proyecto !!S es un esfuer6o de una comunidad abierta$ por lo 5ue si encuentra .til este
proyecto le invitamos a patrocinarlo a trav2s de la compra de una licencia$ una donaci3n o
un patrocinio%
Todos los 4erechos 7eservados ISECOM$ +,,-%
2
LECCIN 6 MALWARE
ndice
0'icense for 8se1 Information%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% +
Informaci3n sobre la 0'icencia de 8so1%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% +
Contribuciones%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% -
9%, Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%:
9%; <irus %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9
9%;%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9
9%;%+ 4escripci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9
9%;%+%; <irus de Sector de rran5ue =>oot Sector <iruses?%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9
9%;%+%+ <irus de rchivos E"ecutables%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9
9%;%+%@ <irus 7esidentes en Memoria =Terminate and Stay 7esident # TS7?%%%%%%%%%%%%%%%%%%%%%%%%%%%% A
9%;%+%- <irus *olim3rfico%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% A
9%;%+%: <irus de Macro%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% A
9%+ Busanos%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%+%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%+%+ 4escripci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%@ Troyanos y Spyware%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%@%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%@%+ 4escripci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%- 7ootkits y >ackdoors%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% D
9%-%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
9%-%+ 4escripci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
9%: >ombas '3gicas y >ombas de Tiempo%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;,
9%:%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;,
9%:%+ 4escripci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;,
9%9 Contramedidas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;,
9%9%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;,
9%9%+ nti#<irus%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;;
9%9%@ (I4S =Sistemas de detecci3n de intrusiones de red?%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;;
9%9%- !I4S =Sistemas de detecci3n de intrusiones de host?%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;;
9%9%: Eirewalls =Cortafuegos?%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;;
9%9%9 Sandbo&es =Ca"as de arena?%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;;
9%A Sanos Conse"os de Seguridad%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;+
M/s Informaci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;@
!
LECCIN 6 MALWARE
Contrib"ciones
Simon >iles$ Computer Security Online 'td%
Fim Truett$ ISECOM
*ete !er6og$ ISECOM
Marta >arcel3$ ISECOM
Erank Craig$ 7( IngenierGa de Sistemas S7'
Haume bella$ 'a Salle 87' # ISECOM
#
LECCIN 6 MALWARE
SSON 6 MALWARE
6$% Introd"ccin
0Malware1 son a5uellos programas o partes de ellos 5ue tienen un efecto malicioso en la
seguridad de tu ordenador% Este t2rmino engloba muchas definiciones las cuales de seguro
ya has oGdo hablar como 0<irus1$ 0Iorm =gusano?1 y 0Tro"an =troyano?1 y otras de las 5ue
posiblemente no hayas oGdo hablar como 07ootkit1$ 0'ogicbomb =bomba l3gica?1 y
0Spyware1% Este capGtulo presentar/$ definir/ y e&plicar/ cada una de estas subclases de
malware$ brindar/ e"emplos y e&plicar/ algunas de las contramedidas 5ue pueden ser
puestas en pr/ctica para restringir los problemas 5ue causa el malware%
&
LECCIN 6 MALWARE
6$' (ir"s
6$'$' Introd"ccin
<irus J este es el tipo de malware del cual la gente est/ m/s concien6ada% 'a ra63n de 5ue
se cono6ca como 0virus1 es solamente hist3rica% l mismo tiempo 5ue se dio a conocer la
aparici3n del primer virus inform/tico los medios publicaban artGculos acerca de la
distribuci3n del virus del SI4% 'os paralelismos 5ue se daban entre ambos$ la propagaci3n
debido a la interacci3n con un medio infectado$ la dependencia de un medio transmisor y
la eventual 0muerte1 de todo anfitri3n infectado fomentaron esta definici3n% Este paralelismo
hi6o creer$ y a.n lo hace$ 5ue la gente podrGa llegar a infectarse con un virus inform/tico%
6$'$2 )escri*cin
'os virus son programas auto replicantes 5ue al igual 5ue un virus biol3gico se ad"untan a
otro programa$ o en el caso de virus 0macro1 se ad"untan a otro archivo% El virus se e"ecuta
solamente cuando se e"ecuta el programa o se abre el archivo infectado% Esto es lo 5ue
diferencia a los virus de los gusanos: si no se accede al programa o archivo entonces el virus
no se e"ecutar/ y por lo tanto no se replicar/%
E&isten distintos tipos de virus aun5ue la forma m/s com.n de encontrarlos hoy en dGa es en
el formato 0virus macro1$ mientras otros como los virus de sector de arran5ue =boot sector?
s3lo se encuentran en 0cautividad1%
6$'$2$' (ir"s de +ector de Arran,"e -.oot +ector (ir"ses/
El virus de sector de arran5ue fue el primer virus en ser creado% Se esconde en el c3digo
e"ecutable del sector de arran5ue de los discos de arran5ue$ lo 5ue significaba 5ue para
infectar un ordenador habGa 5ue iniciarlo desde un diskette de arran5ue infectado% !ace
mucho tiempo atr/s =;: aKos apro&imadamente? iniciar el ordenador desde un diskette de
arran5ue era algo bastante usual$ lo 5ue signific3 5ue los virus se distribuGan r/pidamente$
antes de 5ue la gente se diera cuenta de lo 5ue estaba ocurriendo% Este tipo de virus =y
tambi2n los dem/s? deben de"ar una marca digital para evitar 5ue se infecte repetidamente
el mismo ob"etivo% Es esta firma la 5ue permite 5ue ciertos programas =como por e"emplo los
antivirus? detecten la infecci3n%
6$'$2$2 (ir"s de Arc0i1os E2ec"tables
El virus de rchivos E"ecutables se ad"unta a archivos del tipo %e&e o %com% lgunos virus
buscaban programas 5ue formaran parte especGficamente del sistema operativo y por ello
se e"ecutaban cada ve6 5ue se encendGa el ordenador$ aumentando asG sus posibilidades de
una e&itosa propagaci3n del virus% E&istGan unas cuantas maneras de ad"untar un virus a un
archivo e"ecutable$ aun5ue algunas funcionaban me"or 5ue otras% El m2todo m/s simple y
menos sutil era la de sobrescribir la primer parte del archivo con c3digo de virus$ lo 5ue
significaba 5ue el virus se e"ecutaba pero el resto del programa no funcionaba
correctamente% Esto era una clara seKal 5ue habGa una infecci3n J especialmente si el
programa era una parte esencial del sistema operativo%
6
LECCIN 6 MALWARE
6$'$2$! (ir"s Residentes en Memoria -3erminate and +ta4 Resident 5 3+R/
'a sigla TS7 viene del 4OS y significa 5ue un programa se carga en memoria y 5ueda
residente en segundo plano permitiendo al ordenador traba"ar en primer plano de manera
normal% Estos virus m/s avan6ados podGan interceptar llamadas al sistema operativo =system
calls? 5ue podrGan e&poner su e&istencia y respondGan con respuestas falsas$ evitando de esta
manera su descubrimiento y)o limpie6a% Otros se ad"untaban al comando LdirM e infectaban
todas las aplicaciones listadas en el directorio% lgunos hasta detenGan =o borraban? los
programas anti#virus%
6$'$2$# (ir"s 6olimrfico
'os primeros virus eran bastante f/ciles de detectar ya 5ue poseGan una cierta firma digital
dentro de ellos para evitar una re#infecci3n o simplemente por5ue poseGan una estructura
especGfica 5ue permitGa su detecci3n% 'uego aparecieron los virus polim3rficos% *oli =muchas?
M3rficos =formas?% Estos virus se modificaban cada ve6 5ue se replicaban$ reordenando su
c3digo$ cambiando de encriptaci3n$ generando un nuevo c3digo 5ue parecGa totalmente
distinto al original%
Esto cre3 un gran problema ya 5ue las firmas a detectar eran cada ve6 m/s pe5ueKas y los
m/s avan6ados solo se detectaban mediante algoritmos 5ue comparaban combinaciones%
Esto se acentu3 por la aparici3n de kits de generaci3n de virus polim3rficos 5ue se
distribuyeron en la comunidad de autores de virus 5ue permitGan generar cual5uier virus
como polim3rfico%
6$'$2$& (ir"s de Macro
'os virus de Macro hacen uso de la habilidad de muchos programas de e"ecutar c3digo% 'os
programas como Iord y E&cel poseen versiones de lengua"e de programaci3n <isual >asic
limitados en funciones pero muy poderosos% Esto permite la automati6aci3n de tareas
repetitivas y la configuraci3n autom/tica de ciertos par/metros% Estos lengua"es de macros
se utili6an maliciosamente para adosar c3digo viral a los documentos los cuales copiar/n el
c3digo viral a otros documentos$ lo 5ue resulta en una propagaci3n del virus% un5ue
Microsoft ha desactivado esa propiedad en las nuevas versiones$ Outlook =el programa de
correo? e"ecutaba cierto tipo de c3digo adosado a los mensa"es de correo de manera
autom/tica apenas eran abiertos% Eso significaba 5ue los virus se propagaban r/pidamente
envi/ndose a toda la lista de direcciones de correo 5ue habGa en el ordenador infectado%
Esto ya ha sido solucionado en las .ltimas versiones del producto%
E2ercicios7
;? 8tili6ando Internet intenta encontrar un e"emplo de cada tipo de virus definido
previamente%
+? Investiga el virus Fle6 :
# Ncual es su 0carga destructiva1 =payload?O
# el virus Fle6 es muy conocido por su t2cnica de S*OOEI(B% NPu2 es S*OOEI(B y como es
utili6ado por el virus ElesO
# acabas de enterarte 5ue tu ordenador est/ infectado con el virus Fle6% Investiga como
eliminar el virus%
8
LECCIN 6 MALWARE
@? cabas de recibir un mensa"e de correo con el asunto 0Iarning about your email
account1 =advertencia acerca de tu cuenta de correo?% El cuerpo del mensa"e e&plica
5ue tu uso indebido del correo electr3nico resultar/ en la p2rdida de tus privilegios de
Internet y 5ue deberGas ver el archivo ad"unto para m/s informaci3n% *ero 5ue a ti te
conste t. no has hecho nada raro con el correo electr3nico% NSospechasO 4eberGas%
Investiga esta informaci3n y determina 5ue virus se encuentra ad"unto al mensa"e%
6$2 9"sanos
6$2$' Introd"ccin
'os Busanos son antecesores a los <irus% El primer gusano fue creado muchos aKos antes del
primer virus% Este gusano hacGa un uso indebido del comando finger de 8(IQ para
r/pidamente detener el acceso a Internet =5ue era sustancialmente menor en esos dGas?% 'a
siguiente secci3n trata el tema de los gusanos%
6$2$2 )escri*cin
8n gusano es un programa 5ue una ve6 e"ecutado se replica sin necesidad de la
intervenci3n humana% Se propagar/ de anfitri3n en anfitri3n haciendo uso indebido de un
servicio=s? desprotegido=s?% travesar/ la red sin la necesidad de 5ue un usuario envGe un
archivo o correo infectado% 4ebes tener en cuenta 5ue la mayorGa de los sucesos 5ue han
aparecido en los medios .ltimamente se deben a gusanos y no a virus%
E2ercicios7
;? 8tili6ando Internet$ intenta encontrar informaci3n del primer gusano 5ue se haya creado%
+? verigua cual es la vulnerabilidad 5ue utili6an el gusano Code 7ed y (imda para
propagarse%
6$! 3ro4anos 4 +*4:are
6$!$' Introd"ccin
El primer Caballo de Troya fue creado por los Briegos hace miles de aKos =piensa en la
pelGcula Troya si la has visto?% El concepto b/sico es 5ue dentro de un sistema 5ue parece
seguro se introduce algo malicioso pero disfra6ado como sano% Este disfra6 podr/ ser desde el
anticipo de un "uego ba"ado de Internet hasta un mensa"e de correo electr3nico
prometiendo im/genes pornogr/ficas de tu celebridad preferida% Esta secci3n cubre en
detalle los troyanos y el spyware%
6$!$2 )escri*cin
'os Troyanos son c3digos maliciosos 5ue intentan mostrarse como algo .til o apetecible para
5ue uno lo e"ecute% 8na ve6 e"ecutados intentar/n instalar un backdoor o rootkit =ver secci3n
;
LECCIN 6 MALWARE
9%-?$ o a.n peor$ intentar/n marcar un n.mero de tel2fono de acceso a Internet de alto
coste$ lo 5ue te costar/ mucho dinero%
Spyware es c3digo 5ue se instala clandestinamente casi siempre de sitios de Internet 5ue t.
puedas visitar% 8na ve6 instalado buscar/ en tu ordenador informaci3n 5ue considere de
valor% Esto podr/n ser o estadGsticas de tu utili6aci3n de Internet o hasta tu n.mero de tar"eta
de cr2dito% lgunas versiones de Spyware inadvertidamente se dan a conocer por5ue
hacen aparecer avisos en tu escritorio de manera irritante%
E2ercicios7
;? Mediante Internet encuentra un e"emplo de troyanos y spyware%
6$# Root<its 4 .ac<doors
6$#$' Introd"ccin
menudo cuando un ordenador ha sido vulnerado por un hacker$ 2l mismo intentar/ instalar
un m2todo para poder accederlo f/cilmente a voluntad% E&isten muchas variaciones de
estos programas algunos de los cuales se han vuelto bastante famosos J Rbusca en Internet
0>ack Orifice1 S
6$#$2 )escri*cin
7ootkits y backdoors son c3digos maliciosos 5ue elaboran metodologGas para permitir el
acceso a un ordenador% <an desde los m/s simples =un programa escuchando en un puerto
determinado? hasta los m/s comple"os =un programa 5ue esconder/ sus procesos en
memoria$ modificar/ los archivos de registros y escuchar/ en un puerto?% menudo un
backdoor ser/ tan simple como crear un usuario 5ue tiene privilegios de super#usuario con la
esperan6a de 5ue no se note% Esto se debe por5ue un backdoor est/ diseKado para evitar el
control normal de autenticaci3n de un sistema% Tanto el virus Sobig como el virus My4oom
instalan backdoors como parte de su carga destructiva%
E2ercicios7
;? Encuentra en Internet e"emplos de rootkits y backdoors%
+? Investiga acerca de 0>ack Orifice1 y compara sus funcionalidades con las de los
programas de acceso remoto promocionados por Microsoft%
=
LECCIN 6 MALWARE
6$& .ombas L>icas 4 .ombas de 3iem*o
6$&$' Introd"ccin
lgunos programadores o administradores de sistemas pueden ser bastante peculiares% Se ha
sabido de ciertos sistemas donde se han e"ecutado algunos comandos en base a la
ocurrencia de ciertas condiciones especGficas% *or e"emplo: se puede crear un programa
donde si el administrador no entra en el sistema en tres semanas 2l mismo empe6ar/ a borrar
bits al a6ar del disco% En el aKo ;DD+ se dio un caso 5ue cobr3 notoriedad en la compaKGa
Beneral 4ynamics 5ue involucr3 a un programador% El programador cre3 una bomba l3gica
5ue se activarGa una ve6 5ue se fuera y 5ue borrarGa informaci3n crGtica% Tl esperaba 5ue la
compaKGa le pagara una buena suma para volver y arreglar el problema% Sin embargo otro
programador descubri3 la bomba l3gica antes 5ue e&plotara y el programador malicioso
fue sentenciado y multado con :%,,, 8SU% parentemente el "ue6 fue benevolente ya 5ue los
cargos por los 5ue fue sentenciado podGan tener una sentencia de prisi3n y hasta :,,%,,,
8SU de multa%
6$&$2 )escri*cin
'as >ombas l3gicas y bombas de tiempo son programas 5ue no poseen rutinas de
replicaci3n y no pueden crear accesos remotos$ pero son o forman parte de aplicaciones
5ue causar/n daKo o modificaciones a los datos si son activados% *ueden ser entes
individuales o formar parte de gusanos o virus% 'as bombas de tiempo est/n programadas
para liberar su carga destructiva en un momento determinado% 'as bombas l3gicas est/n
programadas para liberar su carga destructiva cuando ocurren determinados eventos% El
principio de una bomba de tiempo tambi2n se puede aplicar en programaciones no
maliciosas% *or e"emplo el concepto de bomba de tiempo nos permite evaluar un programa
por un perGodo de tiempo$ normalmente treinta dGas$ despu2s del cual el programa cesa de
funcionar% Este es un e"emplo de programaci3n no maliciosa 5ue involucra el concepto de
bomba de tiempo%
E2ercicios7
;? NPue otros usos ra6onables =y legales? pueden darse a los conceptos de bomba de
tiempo y bomba l3gicaO
+? *iensa como puedes detectar un programa de este tipo en tu ordenador%
6$6 Contramedidas
6$6$' Introd"ccin
E&isten muchos m2todos por los cuales se puede detectar$ eliminar y prevenir el malware%
lgunos m2todos no son m/s 5ue sentido com.n mientras otros involucran cierta tecnologGa%
'a siguiente secci3n resalta algunos de estos m2todos e incluye una breve e&plicaci3n y
brinda e"emplos%
'%
LECCIN 6 MALWARE
6$6$2 Anti5(ir"s
El software anti#virus est/ disponible en varias versiones comerciales y tambi2n en Open
Source% Todas funcionan con la misma metodologGa% *oseen una base de datos de las firmas
de los virus y las comparan con los archivos del sistema para ver si e&iste alguna infecci3n%
menudo con los virus actuales las firmas son muy pe5ueKas y pueden dar falsos positivos$ es
decir$ detecciones 5ue aparentan ser virus y no lo son% lgunos programas anti#virus utili6an
una t2cnica conocida como 0heurGstica1$ 5ue significa 5ue en base al concepto de 5u2
forma debiera tener un virus pueden determinar si un programa desconocido se adecua a
este concepto% 7ecientemente los anti#virus han cru6ado el umbral de los sistemas de
prevenci3n de intrusiones de host$ verificando 5ue no se produ6can anomalGas en el
funcionamiento de los programas est/ndar%
6$6$! NI)+ -+istemas de deteccin de intr"siones de red/
'os sistemas de detecci3n de intrusiones de red son similares a los anti#virus pero aplicado al
tr/fico de la red% >uscan en el tr/fico de red firmas o comportamientos debidos a un virus o
gusano% *ueden alertar al usuario atacado o detener el tr/fico de red 5ue intenta distribuir el
malware%
6$6$# ?I)+ -+istemas de deteccin de intr"siones de 0ost/
'os sistemas de detecci3n de intrusi3n de host$ tal como Tripwire$ son capaces de detectar
cambios reali6ados sobre archivos en un servidor% Es ra6onable esperar 5ue un archivo una
ve6 compilado no necesite ser modificado% 'uego$ mediante el control de sus caracterGsticas$
tales como tamaKo$ fecha de creaci3n y control de integridad pueden detectar
inmediatamente si ha ocurrido algo irregular%
6$6$& @ire:alls -Cortaf"e>os/
'os gusanos se propagan por la red conect/ndose a servicios vulnerables en cada sistema%
dem/s de asegurarte 5ue estos servicios vulnerables no se est2n e"ecutando en tu
ordenador el siguiente paso es verificar 5ue tu firewall no permita cone&iones a estos
servicios% Muchos firewalls modernos reali6an alg.n tipo de filtrado de pa5uetes similar a un
(I4S lo cual frenar/ los pa5uetes 5ue coincidan con ciertas firmas% =nali6aremos los firewalls
con m/s detalle en la secci3n A%;%+?%
6$6$6 +andboAes -Ca2as de arena/
El concepto de sandbo&es es simple: una aplicaci3n o programa tiene su propio entorno
para e"ecutarse y no puede afectar al resto del sistema% Este concepto se implementa como
est/ndar en el lengua"e de programaci3n Hava y tambi2n puede implementarse a trav2s de
otras utilidades como chroot en 'inu&% Esto restringe el daKo 5ue un malware pueda
ocasionarle al sistema operativo anfitri3n simplemente restringi2ndole los accesos re5ueridos%
Otra opci3n es la de crear un ordenador virtual completo mediante un producto como
<MIare% Esto aGsla al ordenador virtual del sistema anfitri3n limitando el acceso del mismo
seg.n lo haya configurado el usuario%
E"emplo J http:))www%vmware%com J <MIare virtual machines
''
LECCIN 6 MALWARE
E2ercicios7
;% El "uego de las coincidencias: investiga cada una de las siguientes referencias y asocia el
tipo de contramedida 5ue le corresponda:
;% http:))www%vmware%com a% (I4S
+% http:))www%tripwire%org b% ntivirus
@% http:))www%snort%org c% Eirewalls
-% http:))www%checkpoint%com d% Sandbo&es
:% http:))www%sophos%com e% !I4S
+% Investiga 0Spybot Search and 4estroy1 y determina de 5ue tipo de malware protege%
@% verigua como funcionan los (I4S y !I4S%
-% nali6a las soluciones de Eirewalls en la red%
:% >usca 0chroot1 en Internet e inf3rmate acerca de este tipo de 0c/rcel1 o 0ca"a de arena1%
LESSON 6 MALWARE
6$8 +anos Conse2os de +e>"ridad
E&isten varios procedimientos simples 5ue minimi6ar/n tu e&posici3n al Malware%
4escarga informaci3n .nicamente de sitios confiables =esto significa no I-7@V$ por
favor?
(o abras nunca ficheros ane&ados de un e#mail de gente 5ue no cono6cas%
(o de"es las macros activadas por defecto en tus aplicaciones%
Mant2n tu sistema operativo y aplicaciones actuali6adas con las .ltimas versiones%
Si descargas o instalas software acompaKado de un checksum J comprueba dicho
checksum%
LESSON 6 MALWARE
'2
LECCIN 6 MALWARE
MBs Informacin
Sitios de proveedores de nti#<irus
http:))www%sophos%com
http:))www%symantec%com
http:))www%fsecure%com
http:))www%mcafee%com
Todos estos sitios poseen bases de datos donde enumeran las propiedades de troyanos$ virus
y otros malware% Tambi2n hay descripciones de sus funcionamientos
http:))www%cess%org)adware%htm
http:))www%microsoft%com)technet)security)topics)virus)malware%msp&
http:))www%6eltser%com)sans)gcih#practical)revmalw%html
http:))www%securityfocus%com)infocus);999
http:))www%spywareguide%com)
http:))www%brettglass%com)spam)paper%html
http:))www%lavasoft%nu) # dware Cleaning Software =Ereeware <ersion?
http:))www%claymania%com)removal#tools#vendors%html
http:))www%io%com)Wcwagner)spyware%html
http:))www%bo+k%com)
http:))www%sans%org)rr)catinde&%phpOcatXidY@9
'!
LECCIN 6 MALWARE
También podría gustarte
- Test Salud Mental PDFDDocumento28 páginasTest Salud Mental PDFDDiana Rebecca Rodríguez RuizAún no hay calificaciones
- Manual Inventor 2013 - Nivel 3 - LaboratorioDocumento126 páginasManual Inventor 2013 - Nivel 3 - LaboratorioReember Alex Arteaga Ticona100% (3)
- REvista Python 1Documento31 páginasREvista Python 1Aprender Libre86% (7)
- Diseño de Un Servicio Ott para La TransmisiónDocumento29 páginasDiseño de Un Servicio Ott para La Transmisiónmanuel suarezAún no hay calificaciones
- Informe de DescargoDocumento3 páginasInforme de DescargoFrancezco TelloAún no hay calificaciones
- Primera Unidad Educacion Civica 1Documento3 páginasPrimera Unidad Educacion Civica 1RosaAún no hay calificaciones
- Informe 1 Seguridad IndustrialDocumento26 páginasInforme 1 Seguridad IndustrialYeimyAún no hay calificaciones
- Elemento Estructural en Solidworks 2010Documento12 páginasElemento Estructural en Solidworks 2010Rafael Cotrina CastañedaAún no hay calificaciones
- Donaldson Filtros Hidraulicos PDFDocumento8 páginasDonaldson Filtros Hidraulicos PDFRafael Cotrina CastañedaAún no hay calificaciones
- Cat FiltrosInt05-2015 - LR PDFDocumento141 páginasCat FiltrosInt05-2015 - LR PDFRafael Cotrina CastañedaAún no hay calificaciones
- Propuesta Capacitación Ofimatica, Trabajo en Equipo y LIderazgoDocumento5 páginasPropuesta Capacitación Ofimatica, Trabajo en Equipo y LIderazgoAngel herrera saraAún no hay calificaciones
- Estratificación y Movilidad SocialDocumento3 páginasEstratificación y Movilidad SocialHugo De GregorioAún no hay calificaciones
- Guion Juicio Oral y PublicoDocumento17 páginasGuion Juicio Oral y Publicoagil.9366Aún no hay calificaciones
- 04 204 FLSmidth Krebs GMAX Hydrocyclones 4-19-17 SPANISH WebDocumento4 páginas04 204 FLSmidth Krebs GMAX Hydrocyclones 4-19-17 SPANISH WebJonathan Atamari ViAún no hay calificaciones
- 2-Instrumento de Investigacion Primeros Auxilios PDFDocumento3 páginas2-Instrumento de Investigacion Primeros Auxilios PDFJuan Diego Uribe MuñozAún no hay calificaciones
- Proceso Impresión LibrosDocumento6 páginasProceso Impresión LibrosBrandonRivasGiraldoAún no hay calificaciones
- Actividad de Aprendizaje #24Documento2 páginasActividad de Aprendizaje #24BERTILA ARTEAGA TOLENTINOAún no hay calificaciones
- Currículo VitaeDocumento3 páginasCurrículo VitaeJere RamirezAún no hay calificaciones
- Guia Primaria MusicaDocumento7 páginasGuia Primaria Musicajhoel7Aún no hay calificaciones
- Unidad 1 PDFDocumento6 páginasUnidad 1 PDFMarcela RuedaAún no hay calificaciones
- Consultorios Barriales de Arquitectura: Hábitat Digno. Propuestas y Acciones para Producción Social de HábitatDocumento5 páginasConsultorios Barriales de Arquitectura: Hábitat Digno. Propuestas y Acciones para Producción Social de HábitatArqCom La PlataAún no hay calificaciones
- Guía 3er Parcial - Cierre Contable RSDocumento9 páginasGuía 3er Parcial - Cierre Contable RSAngel elvir FloresAún no hay calificaciones
- Historia y Evolución de La Propiedad de La Tierra en VenezuelaDocumento6 páginasHistoria y Evolución de La Propiedad de La Tierra en VenezuelaIram NavarroAún no hay calificaciones
- Mansion Ingles GramaticaDocumento116 páginasMansion Ingles GramaticaJacob Gonzalez BarriosAún no hay calificaciones
- Diapos - Integrador (Recuperado)Documento10 páginasDiapos - Integrador (Recuperado)Israel CuariteAún no hay calificaciones
- Presentación PolímerosDocumento33 páginasPresentación Polímerosap604957Aún no hay calificaciones
- Reseña Critica-JokerDocumento2 páginasReseña Critica-JokercarteraAún no hay calificaciones
- Religion 3ro Lunes 22-08-22Documento62 páginasReligion 3ro Lunes 22-08-22Manuel LuisAún no hay calificaciones
- Jessu Ciencia Tecnología Semana 32Documento7 páginasJessu Ciencia Tecnología Semana 32Lucy Nerie Garcia Castillo0% (1)
- Plan de Retorno y Seguridad Escolar ESCUELA SEMILLERODocumento14 páginasPlan de Retorno y Seguridad Escolar ESCUELA SEMILLEROEscuela Semillero RolechaAún no hay calificaciones
- DescargaDocumento11 páginasDescargaElenaAún no hay calificaciones
- Felipe Félix Arias GutierrezDocumento2 páginasFelipe Félix Arias GutierrezFelipe Félix Arias GutiérrezAún no hay calificaciones
- Actividad Individual - Ronny LeytonDocumento13 páginasActividad Individual - Ronny LeytonMiguel PerdomoAún no hay calificaciones
- El Concepto de Individualización en La Teoría Social ClásicaDocumento20 páginasEl Concepto de Individualización en La Teoría Social Clásicagalahad_tannhauser9981Aún no hay calificaciones
